How to obtain a fine grained password and a lockout policy on windows 2008

4 בדצמבר 2007

תגובה אחת

מבוא

כיום עם שרתי  Windows 2003 ניתן להגדיר אך ורק Password Policy ו – Account Lockout Policy אחד עבור המשתמשים ב – Domain.

בכל ארגון ממוצע כל המשתמשים מקבלים את אותו ה – Password & Lockout Policy, אך אילו חשבונות באמת חשובים? החשבונות האפליקטיביים והאדמיניסטרטיביים.

ב – Windows 2008 קיימת אפשרות גמישות בהגדרת ה – Policies הללו עקב הרחבות ב – Schema של ה – Active Directory, כלומר ניתן להגדיר Policies שונים עבור משתמשים שונים,  InterOrgPersons או Global Security Groups.

לדוגמא: אורך הסיסמא של כל המשתמשים תהיה 6 תוים בעוד שהחשבונות האפליקטיביים והאדמיניסטרטיביים יקבלו אורך מינימלי בן 15 תוים (מכיוון שסיסמת המשתמש אינה נשמרת לוקאלית על תחנת העבודה).

בכדי שאפשרות זו תהיה פעילה יש להגדיר  Windows 2008 Domain Functional Level, כלומר מערכות ההפעלה של השרתים הנתמכים הן Windows 2008 בלבד.

יישום דרישות קדם

1. Domain Functional Level.

נדרש לוודא כי ה – Domain Functional Level הוא אכן מתאים ל – Windows 2008, ניתן לבצע זאת דרך  Active Directory Users and Computers >> לחיצה ימנית עם העכבר על ה -Domain >> ובחירה ב -Raise Domain Functional Level >> אמור להופיע Windows Longhorn Server (נכון לגרסא Beta3 Build 6001).

2. GPMC ( Group Policy Management Console)

מומלץ להגדיר Password & Lockout Policy יחודי לכל ה – Domain באמצעות GPMC ולאחר מכן להתאים מדיניות שונה לפי הדרישות.

GPMC הוא Feature ב – Windows 2008 וניתן להתקינו דרך Server Manager >> Features >> Add Features ולאחר מכן  ב – Wizard יש להתקין את  Group Policy Management.

את מדיניות הסיסמאות ניתן להגדיר בממשק בנתיב Default Domain Policy >> לחיצה ימנית עם העכבר ובחירה ב – Edit >> בחלון שיפתח (Group Policy Management Editor) יש לבחור ב – Computer Configuration >> Windows Settings >> Security Settings >> Account Policies.

3. ADSI Edit

כלי זה ישמש לצורך הגדרת המידיניות ל – Users או ל – Global Security Groups.

אין זה כלי ידידותי אך עם למידת כלי זה העבודה תהיה קלה יותר.

אופן הפעלת הכלי:  בשורת הפקודה יש להפעיל את adsiedit.msc.

יש לציין כי אין צורך בהקנת כלי זה, הוא מגיע כברירת מחדל עם מערכת ההפעלה.

 

אופן ביצוע ההגדרות

ראשית כל יש להעלות את ה – ADSI edit.

כשיפתח החלון יש לבחור ב – Action >> Connect to.

בחלון שיפתח (Connection Settings) יש לבחור בהגדרות ברירת המחדל וללחוץ על OK.

      

כעת יש להכנס לנתיב הבא:

(Domain Name >> System >> Password Settings Container (PSC.

לחיצה ימנית עם העכבר ובחירה ב – New >> Object.

 

חלון ה – Create Object שיפתח אינו מותיר ברירה אלא לבחור ב – msDS-PasswordSettings.

Class זה מאפשר לשנות את כל הגדרות מדיניות הסיסמאות הקיימים ב – Default Domain Policy חוץ מהגדרות ה – Kerberos.

כעת ניתן להגדיר את מדיניות הסיסמאות הרצויה לפי הפרמטרים המופיעים בטבלה

מאפיין הסבר ערך לדוגמא
Cn שם ה – Policy. מומלץ לתת שם משמעותי למטרת זיהוי קל. AdminsPwPol
msDS-PasswordSettingsPrecedence ה – Cost של ה – Policy.במידה וקיימים שני PSO's על משתמש יש לקבוע מי יחול עליו.ככל שה – Cost נמוך יותר, כוחו חזק יותר. 20
msDS-PasswordReversibleEncryptionEnabled ערך בוליאני (True או False) הקובע האם לשמור את הסיסמא ב – Reversible Encryption (לא מומלץ אבטחתית) False
msDS-PasswordHistoryLength מספר הסיסמאות האחרונות שישמרו בזכרון במטרה לא לשנות לסיסמא שהייתה בשימוש לאחרונה. 10
msDS-PasswordComplexityEnabled ערך בוליאני הקובע האם הסיסמא תהיה מסובכת, כלומר מורכבת מ-3 מתוך 4 האפשרויות הבאות:

  • אותיות גדולות
  • אותיות קטנות
  • תוים
  • סימנים
True
msDS-MinimumPasswordLength אורך הסיסמא המינימלי. 8
msDS-MinimumPasswordAge ערך הקובע תוך כמה זמן מינימלי משינוי הסיסמא ניתן יהיה לשנותה שוב.ערך זה נמדד באופן הבא:דקה אחת = 3000000000-חשוב: אין להתעלם מהמינוס. 864000000000(יום אחד)
msDS-MaximumPasswordAge ערך הקובע תוך כמה זמן משינוי הסיסמא יהיה חובה לשנותה שוב.ערך זה נמדד בדומה לערך הקודם. -36288000000000         (42 ימים)
msDS-LockoutTreshold מספר נסיונות הכניסה הכושלים בטרם המשתמש ננעל. 15
msDS-LockoutObservationWindow ערך הקובע תוך כמה זמן יתאפס המונה של מספר נסיונות הכניסה. 864000000000(יום אחד)
msDS-LockoutDuration משך הזמן בו המשתמש יהיה נעול, ולאחר מכן ישתחרר אוטומטית. -36288000000000  (42 ימים)

בסיום הזנת הנתונים יפתח חלון הסיום – יש לבחור ב – Finish.

לאחר הגדרת ה – PSO) Password Settings Object) ניתן למצוא אותו ב – (Active Directory Users and Computers (ADUC או ב – Server Manager בנתיב System >> Password Settings Container.

הערה: יש לשים לב שהאפשרות Advanced Features מסומנת תחת תפריט View.

השלב הבא הוא שיוך ה – PSO ל – Users ו/או Global Security Groups.

בכדי לעשות זאת יש להכנס למאפייני ה – PSO שב – ADUC או ב – ADSI edit ולעבור ללשונית Attribute Editor.

ה – Attribute שיש לערוך הוא msDS-PSOAppliesTo.

 

בכדי לשייך את ה – PSO יש ללחוץ על Edit ולהוסיף את ה – Distinguished Name של ה – User או ה – Global Security Group.

הערה: לא לשכוח ללחוץ על Add לפני ה – OK.

           

כיצד ניתן לראות את ה – Distinguished Name של אובייקט?

יש להכנס למאפייני ה – User או ה – Global Security Group הרצוי ללשונית Attribute Editor למאפיין DistinguishedName.

                      

 

וידוא

ניתן לבדוק האם ה – Policy החדש חל על האובייקט הרצוי באופנים הבאים:

1. יש להכנס למאפייני האובייקט שחל עליו ה – Policy ולעבור ללשונית Attribute Editor.

בלשונית זו יש לבחור ב – Filter ולוודא שהאפשרות Backlinks פעילה.

                                  

כעת ניתן לראות את המאפיין msDS-PSOApply בהתאם ל – PSO שהוגדר.

               

הבהרות חשובות

הרשאות

בכדי להוסיף את PSO's יש צורך להיות לפחות חבר ב – Domain Admins, למעשה זו הקבוצה שיש לה הרשאות Create All Child Objects ו – Delete All Child Objects על Password Settings Container. כמובן שניתן להאציל סמכויות בהתאם.

בכדי להחיל את ה – PSO על משתמש/קבוצה נדרשת הרשאת Write על האובייקט עצמו בלבד, כלומר אין צורך בהרשאה על המשתמש/הקבוצה.

PSO

ניתן להחיל PSO גם על Users וגם על Global Security Groups יחד.

בנוסף ככל שה – Precedence נמוך יותר ככה הוא חזק יותר, לדוגמא:

ניתן לראות כי ה – PSO's החלים על Avnet Admins הם PSO1 ו – PSO2.

מכיוון שערך ה – Precedence ב – PSO1 נמוך יותר הוא יחול על קבוצה זו.

בכדי לראות מי ה – Policy הקובע יש להכנס למאפייני המשתמש (לא פעיל על קבוצות) שחל עליו ה – Policy ולעבור ללשונית Attribute Editor. השם שיופיע תחת הערך msDS-ResultantPSO הוא ה – PSO הפעיל.

                               

חשוב: אין לקבוע שני PSO עם אותו Precedence על אותו אובייקט מכיוון שה – PSO החדש חל על הקבוצה ולאחר מכן נוצרות בעיות ניהול (נכון לגרסה הנוכחית, בתקווה שיתוקן ויציג הודעות שגיאה).

תוכנת ניהול

קיימת תוכנה המאפשרת ניהול נוח של ה – Password Policies ב – Windows 2008, תוכנה זו נקראת Specops Password Policy.

דף הבית של התוכנה: http://www.specopssoft.com/.

————————————————–

Nir Valtman

Information Security Consultant

www.avnet.co.il

 

 

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

תגובה אחת

  1. חיים16 בדצמבר 2007 ב 19:08

    יפה!
    מברוק על הבלוג, שיהיה בהצלחה!

    הגב